Der Facebook Like Button und der Datenschutz
Gefällt uns das?
In der diese Woche erscheinenden Ausgabe 11-12/2010 der Zeitschrift Website Boosting, welche ich jedem am Thema Online Marketing Interessierten sehr empfehlen kann, schreibt Rechtsanwalt Dr. Martin Bahr unter dem Titel “Facebook: Eine datenschutzrechtliche Analyse” unter anderem über die Problematik des Einbindens des Facebook “Gefällt mir” Knopfes. Dieser Artikel wurde Abonnenten bereits vor Erscheinen des Magazins als PDF-Dokument zur Verfügung gestellt.
Herr Dr. Bahr stellt datenschutzrechtliche Probleme mit Facebook anhand zweier Beispiele dar, den AGB und dem “Like” (bzw. “Gefällt mir”) Button. Er bezieht sich auf die Website “hamburg.de”, welche den Facebook Like Button wieder entfernt hat, nachdem die Betreiber erkannt hatten, dass dieses Plugin auch Daten von Benutzern an Facebook übermittelt, die gar nicht bei Facebook angemeldet sind und den “Gefällt mir” Knopf gar nicht betätigen:
Im Zuge der Nutzung stellte sich jedoch heraus, dass das Plugin auch Daten von Personen übertrug, die gar keine Facebook-Nutzer waren und den Button gar nicht anklickten. Das heißt, das Tool übertrug von jedem, der die Webseite ansurfte, Informationen an Facebook.
Um zu verstehen wie das passieren kann, muss man wissen wie der Facebook “Gefällt mir” Knopf eingebunden wird. Es handelt sich hier nicht einfach um ein auf der einbindenden Seite dargestelltes Bildchen, sondern um einen IFrame, einen “eingebetteten Rahmen” der Inhalte von fremden Webservern in die aktuelle Seite integrieren kann. Ein solcher IFrame ist quasi eine Webseite innerhalb einer Webseite. Wenn man den Facebook “Gefällt mir” Knopf also irgendwo sieht, dann hat der Browser bereits eine Verbindung zu Facebook aufgebaut.
Nun ist es natürlich interessant, welche Daten von diesem IFrame an Facebook übertragen werden. Zunächst mal ist da natürlich die IP-Adresse des Nutzers, außerdem der Referrer, also die Adresse der Seite die den Facebook “Gefällt mir” Button enthält. Um zu sehen, welche weiteren Informationen zwischen Browser und Facebook ausgetauscht werden, habe ich einen Proxy dazwischen geschaltet und die Sitzung aufgezeichnet. Als Proxy nutze ich WebScarab, ein Tool des Open Web Application Security Project.
Analyse der HTTP-Kommunikation des Like-Buttons
Vorbereitungen:
- Eine Testseite mit integriertem Facebook Like Button basteln.
- Aus Facebook abmelden.
- Sämtliche zu facebook.com gehörenden Cookies löschen.
- WebScarab starten und die Browserverbindung über den Proxy localhost:8008 umleiten.
1. Versuch – nicht in Facebook angemeldet, keine Facebook-Seite vorher aufgerufen.
Tatsächlich werden von dem Frame fünf Requests an Facebook Server gestellt. Zum einen wird ein PHP-Skript aufgerufen, welches dann eine CSS-, eine Javascript- und zwei PNG-Dateien nachlädt. Cookies werden keine übermittelt oder gesetzt. Das heißt, wenn dieser Benutzer zwei Tage später eine weitere Seite mit einem Facebook “Gefällt mir” Button aufruft, kann ihn Facebook nicht wiedererkennen und daher auch kein Besuchsprofil erstellen.
2. Versuch – nicht in Facebook angemeldet, aber Facebook Login-Seite aufgerufen.
Nun sieht die Sache anders aus. In diesem Fall gibt es vier Cookies von Facebook, eines davon – mit Namen “datr” – ist zwei Jahre lang gültig, die anderen nur bis zum Sitzungsende. Der “datr” Cookie enthält eine Zeichenfolge, anhand welcher der Browser wiedererkannt werden kann. Anhand des Langzeitcookies ist es für Facebook möglich, die Bewegungen dieses Benutzers auf Seiten, die den Facebook “Gefällt mir” Button eingebaut haben, nachzuvollziehen. Ob dies gemacht wird, weiß ich nicht.
Wohl gemerkt, ich bin immer noch nicht bei Facebook angemeldet, habe nur einmal den Anmeldebildschirm angeschaut.
3. Versuch – in Facebook angemeldet
Die Anzahl Facebook-Cookies hat sich auf zwölf erhöht, wobei das bereits bekannte “datr” Cookie und ein weiteres names “lu” zwei Jahre Gültigkeit haben. Zusätzlich zu den Bewegungsdaten auf mit den Facebook Plugins ausgestatteten Seiten kennt Facebook in diesem Fall auch noch die persönlichen Interessen des angemeldeten Benutzers, seine “Likes” und die seiner Freunde sowie weitere im Facebook-Netzwerk hinterlegte Informationen.
Fazit
Wer nicht bei Facebook angemeldet ist, und auch noch nie eine Facebbok-Seite besucht hat, also auch nicht einmal die Anmeldemaske, wird von Facebook nicht erfasst und dessen Bewegungen auf Seiten mit dem Like-Plugin werden wohl auch nicht nachverfolgt.
Anders sieht es aus, wenn man schon einmal eine Facebook-Seite aufgerufen hat oder wenn man sich gar bewußt aus Facebook abgemeldet hat, im Glauben man wäre dadurch nicht mehr erkennbar. Facebook kann anhand der vorhandenen Cookies den Browser immer noch dem Facebook-Account zuordnen. Ob das gemacht wird, weiß ich nicht.
Immerhin ist Facebook etwas besser im Umgang mit Benutzern, die noch nie mit Facebook in Kontakt waren, als z.B. die Webanalyse-Firma Omniture, welche – im Gegensatz zu Google Analytics – einen Cookie von ihrer eigenen Domain 2o7.net setzt. Dies erlaubt Omniture den Benutzer über mehrere Webseiten hinweg zu tracken. Auch die diversen Online-Werbenetzwerke wie z.B. das mittlerweile zu Google gehörende Doubleclick nutzen diese Technik, ohne dass der Benutzer darüber in Kenntnis gesetzt wird. All dies sind aber lediglich Beispiele für ähnlich gelagerte Fälle, die nur nicht so prominent sind wie Facebook und Google Analytics.
So, spätestens jetzt wisst Ihr, warum wir den Facebook “Like” Button nur sehr kurz auf dem Blog hatten.
Weitere Informationen
- Cookies löschen in verschiedenen Browsern
- Website-Betreiber haften, wenn sie den Facebook „like“- Button einbinden!
- Facebook Social Plugins einbinden – Vorsicht Datenschutz
- Wieso wir den Facebook “Like-Button” wieder entfernten
- Use of a Mysterious Cookie Irks Some Internet Users – ein Artikel aus dem Jahr 2005!
Website-Betreiber haften, wenn sie den Facebook „like“- Button einbinden!
@maddin
Solange das anzuklickende Bild, also z.B. ein Facebook-Logo, nicht von Facebook-Servern geladen wird, ist das etwas anderes. Dann bekommt Facebook nichts von dem Besuch auf der jeweiligen Seite mit, außer natürlich der Nutzer klickt auf diesen Link. Dafür wird es aber auch bald Abhilfe geben. Zumindest in Google Chrome.
Wie schaut es denn eigentlich damit aus, wenn man keinen “Like Button” auf der Homepage aht, sondern einfach nur über einen Facebook-Logo zur eigentlichen Facebook-Seite verlinkt? Was ist denn dann? Ist es das gleiche Problem?
Durch das einfache Aufrufen einer Seite auf frankoli.de wird nichts an Shareaholic übertragen. Das passiert erst, wenn man eines der Icons anklickt.
Ich denke schon, dass das Shareaholic-Plugin eine bessere Alternative darstellt, da es erstens mehrere Dienste abdeckt und zweitens eben nicht unaufgefordert mit Facebook kommuniziert.
Den Kritikpunkt müssen wir uns allerdings in Bezug auf das zumindest im Moment noch aktive Flattr-Plugin gefallen lassen. Dieses kommuniziert unaufgefordert mit seinem Host, um zu ermitteln, ob der Artikel bereits geflattered wurde oder nicht.
Die Problematik bei Facebook sehe ich vor allem in der Tatsache, dass Facebook ziemlich viel über seine Benutzer und vor allem deren Beziehungen zu anderen weiß. Durch den Like-Button kommen dann auch noch Bewegungsprofile im Internet hinzu. Das wollen wir nicht unbedingt unterstützen.
Wer einen Artikel hier im Blog gut genug findet, um ihn auch anderen zu empfehlen, der kann das ja gerne über die Buttons am Ende des Artikels tun oder das “Auf Facebook Teilen” Bookmarklet benutzen.
sehr interessanter Artikel aber es wird hier ja auch http://www.shareaholic.com genutzt, wird da nichts übertragen an http://www.shareaholic.com? ist das eine gute alternative zum gefällt mir Button von Facebook